Bekendtgørelse af lov om betalinger § 60a

Bestemmelsen er ny og fastslår, at virksomheder, der kun udbyder kontooplysningstjenester, jf. bilag 1, nr. 8, skal have en tilladelse hertil. Herudover fastslås det, hvilke krav der skal opfyldes for at få en tilladelse til at udbyde kontooplysningstjenester, samt hvilke oplysninger en udbyder af kontooplysningstjenester skal indsende til Finanstilsynet for at kunne opnå tilladelse i henhold til stk. 1.

Bestemmelsen gennemfører artikel 33, i 2. betalingstjenestedirektiv.

Det foreslås i stk. 1, at virksomheder, der kun udbyder betalingstjenester i henhold til bilag 1, nr. 8, skal have tilladelse som udbyder af kontooplysningstjenester.

Kontooplysningstjenester defineres i § 7, stk. 1, nr. 21, som en tjenesteydelse, der giver en bruger konsolideret information om en eller flere af dennes betalingskonti, der udbydes af en eller flere kontoførende udbydere. Brugeren har således mulighed for hurtigt at få et overblik over sin finansielle situation på et hvilket som helst tidspunkt. Kontooplysningstjenester er omfattet af lovforslaget for at sikre forbrugerne tilstrækkelig beskyttelse af deres betalings- og kontodata samt retssikkerhed om kontooplysningstjenesteyderes status.

Påtænker virksomheden at udbyde andre betalingstjenester omfattet af bilag 1, nr. 1-7, skal der ansøges om tilladelse til dette uafhængigt af en tilladelse givet i medfør af denne bestemmelse.

I henhold til § 151, stk. 1, i lovforslaget foreslås det, at overtrædelse af § 60, stk. 1, straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter den øvrige lovgiving.

Overtrædelse af forslagets § 60, stk. 1, vil omfatte den situation, hvor en virksomhed uden tilladelse, jf. § 60, udbyder kontooplysningstjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er den virksomhed, som udbyder kontooplysningstjenester i strid med forslagets § 60, stk. 1.

Det foreslås i stk. 2, at Finanstilsynet giver tilladelse som udbyder af kontooplysningstjenester, når følgende krav er opfyldt.

Det foreslås i nr. 1, at det er et krav, at virksomheden drives i et aktieselskab, et anpartsselskab, et anpartsselskab med begrænset ansvar eller en forening med begrænset ansvar, og virksomheden har en bestyrelse og direktion.

Formålet med at stille krav om indretningen af virksomheden beror på kravet i 2. betalingstjenestedirektiv om, at de omfattede virksomheder skal have en sund og forsigtig ledelse. Kravet om at virksomheden skal have en bestyrelse skal ses ud fra ønsket om, at virksomheden har en effektiv og betryggende ledelsesform.

Det foreslås i nr. 2, at det er et krav, at virksomheden har hovedkontor og hjemsted i Danmark og som minimum udøver en del af sine aktiviteter i Danmark.

Kravet medfører, at virksomheden skal ledes her fra landet. I denne vurdering vil det blandt andet indgå, hvor virksomhedens ledelses fysisk er placeret, hvor virksomhedens generalforsamling afholdes, og hvor beslutninger i virksomheden træffes. Betingelsen indebærer endvidere, at virksomheden som minimum skal have nogle kunder i Danmark. Formålet med bestemmelsen er at undgå misbrug af etableringsretten, og sikre at virksomhederne etablerer sig i det land, hvori det forventes, at dets aktiviteter skal udøves. Det er dog ikke et krav, at virksomhedens kunder primært befinder sig i Danmark. Det vil bero på en konkret vurdering af Finanstilsynet, om dette forhold er opfyldt.

Finanstilsynet kan således nægte at give en virksomhed tilladelse, hvis Finanstilsynet vurderer, at formålet med at placere hovedkontor og hjemsted i Danmark er at undgå lovgivning i det land, hvor hovedparten af virksomhedens kunder er hjemhørende.

Det foreslås i nr. 3, at det er et krav at medlemmerne af virksomhedens bestyrelse og direktion opfylder kravene til egnethed og hæderlighed, jf. forslagets § 30.

Der stilles krav om at medlemmer af instituttets bestyrelse og direktion til enhver tid have tilstrækkelig viden, faglig kompetence og erfaring til at varetage stillingen eller hvervet. Ledelsesmedlemmet skal derudover til enhver tid have et tilstrækkeligt godt omdømme og udvise hæderlighed, integritet og uafhængighed i forbindelse med udførelsen af sit arbejde. Yderligere må ledelsesmedlemmet ikke være pålagt strafansvar for overtrædelse af straffeloven eller den finansielle lovgivning, hvis overtrædelsen indebærer risiko for, at stillingen eller hvervet ikke kan varetages på betryggende vis.

Se nærmere i bemærkningerne til forslagets § 30 om ledelsens egnethed og hæderlighed.

Det foreslås i nr. 4, at der stilles krav om, at virksomheden har ikke snævre forbindelser, jf. § 5, stk. 1, nr. 19, i lov om finansiel virksomhed, til andre virksomheder eller personer, der vil kunne vanskeliggøre varetagelsen af Finanstilsynets opgaver.

Snævre forbindelser forudsætter, at der foreligger en situation, hvor to eller flere fysiske eller juridiske personer er knyttet til hinanden på en af følgende måder: 1) direkte eller indirekte koncernforhold, 2) en virksomheds direkte eller indirekte besiddelse af 20 pct. eller mere af stemmerettighederne eller kapitalen i en anden virksomhed, eller 3) flere virksomheders eller personers fælles forbindelse med en virksomhed.

Snævre forbindelser forudsætter, at forbindelsen har en vis varig karakter. Erhvervelse af en betydelig andel af kapitalen i en finansiel virksomhed bevirker således ikke i sig selv, at der opstår snævre forbindelser i bestemmelsens forstand, hvis den pågældende erhvervelse kun er en midlertidig investering, der ikke gør det muligt at øve indflydelse på den berørte virksomheds struktur eller finansielle politik.

Det foreslås i nr. 5, at der stilles krav om, at virksomheden har forsvarlige og effektive organisatoriske strukturer, forretningsgange og procedurer, jf. lovforslagets § 25, som indeholder regler om ledelse og indretning af virksomheden.

Formålet med kravet er at sikre, at virksomheden har en klar organisatorisk struktur med veldefineret, gennemskuelig og konsekvent ansvarsfordeling og at virksomheden har effektive procedurer til at identificere, forvalte, overvåge og rapportere om de risici, som virksomheden er eller kan blive udsat for, samt hensigtsmæssige interne kontrolmekanismer, herunder en god administrativ og regnskabsmæssig praksis, som står i forhold til arten, omfanget og kompleksitetsgraden af de betalingstjenester, som udbydes af virksomheden.

Finanstilsynet skal sikre sig, at organisationens opbygning er indrettet således, at der er klart definerede ansvars- og arbejdsområder, og at udførelse af opgaver adskilles fra kontrollen heraf. Ligeledes skal virksomheden sikre, at der sker en rapportering til et højere ledelsesniveau af de risici, som virksomheden påtager sig, samt at der sikres en løbende overvågning af virksomhedens forretningsområder. De omhandlede former for procedurer og mekanismer skal omfatte hele virksomheden og være proportionale med arten, omfanget og kompleksitetsgraden af virksomhedens aktiviteter.

Forslaget til nr. 5, skal ses i sammenhæng med forslaget til stk. 2, nr. 5-10. På baggrund af de oplysninger, virksomheden indsender, jf. stk. 2, nr. 5-10, skal Finanstilsynet kunne vurdere om kravet i nr. 5 er opfyldt.

Det foreslås i nr. 6, at der stilles krav om, at Finanstilsynet vurderer, at virksomheden vil være i stand til at gennemføre en forsvarlig drift.

I forbindelse med behandlingen af ansøgningen skal Finanstilsynet vurdere, hvorvidt virksomhedens forretningsplan sammenholdt med budgetprognosen for de tre første regnskabsår indikerer, at virksomheden har de ressourcer og procedurer, der er nødvendige til at opretholde en forsvarlig drift. Hvis det eksempelvis vurderes, at der er risiko for at virksomheden kan få likviditetsproblemer vil Finanstilsynet anmode om, at der fremlægges en plan for, hvordan likviditeten løbende genoprettes.

Det foreslås i stk. 3, at en ansøgning om tilladelse i henhold til stk. 1, skal indeholde de oplysninger, der er nødvendige til brug for Finanstilsynets vurdering af, om kravene i stk. 2 er opfyldt. Ansøgningen skal som minimum indeholde følgende:

Finanstilsynet vil i overensstemmelse med forslaget til stk. 7 fastsætte nærmere krav om, hvad de i nr. 1-11 omtalte dokumenter skal indeholde.

Det foreslås i nr. 1, at virksomheden skal indsende oplysninger om virksomhedens retlige form med kopi af stiftelsesdokument og vedtægter.

Formålet med stk. 1, nr. 1, er at give Finanstilsynet et overblik over indretningen af den virksomhed, som søger om tilladelse, jf. § 60.

Det foreslås i nr. 2, at virksomheden skal indsende adressen på virksomhedens hovedkontor.

Det er en betingelse for udstedelse af tilladelse i henhold til stk. 1, at virksomheden har hovedkontor og hjemsted i Danmark.

Det foreslås i nr. 3, at virksomheden skal indsende en beskrivelse af virksomhedens forretningsmodel, herunder en oversigt over virksomhedens nuværende og planlagte forretningsaktiviteter samt en beskrivelse af den planlagte betalingstjeneste.

Oplysningerne skal overordnet set indeholde en beskrivelse af den betalingstjeneste, der påtænkes udbudt, herunder en beskrivelse af hvilken type betalingstjeneste, som anført i bilag 1, der er tale om.

Oplysningerne kan endvidere indeholde en beskrivelse af aftaler om deltagelse i clearing- og afviklingssystemer, eller udbud af kredit, hvis dette påtænkes, samt en kopi af forretningsvilkårene, jf. § 7, nr. 28, hvis der indgås en rammeaftale.

Det er betingelse for udstedelse af tilladelse i henhold til stk. 1, at Finanstilsynet på baggrund af det indsendte får en indsigt i virksomhedens planlagte aktiviteter.

Det foreslås i nr. 4, at virksomheden skal indsende en forretningsplan med en budgetprognose for de 3 første regnskabsår, samt senest reviderede årsregnskab, såfremt et sådant er udarbejdet.

Herudover skal virksomheden indsende en beskrivelse af virksomhedens forretningsplan, hvilket eksempelvis kan indeholde en beskrivelse af den påtænkte målgruppe og marked. Yderligere skal der indsendes en budgetprognose, som indeholder en prognose for både balance og resultatopgørelse, samt en beskrivelse af de forudsætninger, der er lagt til grund for udarbejdelsen af budgetprognosen, for minimum de første tre regnskabsår. Endvidere skal virksomheden beskrive den erhvervsmæssige ansvarsforsikring.

Det er en betingelse for udstedelse af tilladelse i henhold til stk. 1, at Finanstilsynet vurderer, at virksomheden er i stand til at gennemføre en forsvarlig drift.

Det foreslås i nr. 5, at virksomheden skal indsende oplysninger om virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer.

Det er en betingelse for udstedelse af tilladelse i henhold til stk. 1, at virksomheden vurderes at være i stand til at gennemføre en forsvarlig drift.

Finanstilsynet tager ved vurderingen udgangspunkt i virksomhedens konkrete forhold. Det vurderes, om virksomheden har en klar organisationsstruktur med en veldefineret, gennemskuelig og konsekvent ansvarsfordeling. Samtidig vurderes, om virksomheden har effektive procedurer til at identificere, forvalte, overvåge og rapportere om risici, forsvarlige interne kontrolprocedurer og en god administrativ og regnskabsmæssig praksis.

Det foreslås i nr. 6, at virksomheden skal indsende oplysninger om virksomheden forretningsgange for håndtering og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder procedurer for indberetning af sikkerhedshændelser, jf. § 125.

Formålet med bestemmelsen er at sikre, at Finanstilsynet kan vurdere om virksomheden har tilstrækkelige procedurer på plads til at imødekomme virksomhedens konkrete sikkerhedsrisici. Virksomheden bør fastsætte de nødvendige rammer til at begrænse risici, samt opretholde effektive procedurer til håndtering af hændelser. Virksomheden bør indføre retningslinjer, der sikrer regelmæssig rapportering af sikkerhedshændelser til de kompetente myndigheder.

Det foreslås i nr. 7, at virksomheden skal indsende en beskrivelse af virksomhedens forretningsgange og procedurer til at sikre lagring, overvågning, sporing og begrænsning af adgang til følsomme betalingsdata.

Formålet med bestemmelsen er at sikre, at Finanstilsynet kan vurdere, hvorvidt virksomheden har tilstrækkelige procedurer til at sikre, at der sker lagring, overvågning, sporing og begrænsning af adgang til brugernes følsomme betalingsdata på en tilstrækkelig sikker måde.

Det foreslås i nr. 8, at virksomheden skal indsende en beskrivelse af virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive beredskabsplaner og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige.

Formålet med bestemmelsen er at sikre, at virksomheden har tilstrækkelige beredskabsplaner eksempelvis i tilfælde af kritiske nedbrud af kritiske it-funktioner. Virksomheden skal jævnligt udføre test af beredskabsplanen.

Det foreslås i nr. 9, at virksomheden skal indsende oplysninger om virksomhedens sikkerhedspolitik, herunder en detaljeret risikovurdering i tilknytning til de betalingstjenester, som virksomheden påtænker at udbyde, og de risikobegrænsende foranstaltninger, som virksomheden har foretaget for at imødegå de identificerede risici, herunder svig og misbrug af følsomme betalingsdata og personoplysninger.

Bestemmelsen har til formålet at sikre, at Finanstilsynet kan vurdere om virksomheden har en tilstrækkelig sikkerhedspolitik, herunder en detaljeret risikovurdering i tilknytning til de betalingstjenester, som virksomheden påtænker at udbyde, og de risikobegrænsende foranstaltninger, som virksomheden har foretaget for at imødegå de identificerede risici. I vurderingen tager Finanstilsynet henset til virksomhedens konkrete forhold og lægger virksomhedens iboende risici til grund for vurderingen af, om de indsendte forretningsgange tager tilstrækkeligt højde for virksomhedens særlige risici.

Det foreslås i nr. 10, at virksomheden skal indsende oplysninger om virksomhedens organisationsstruktur, herunder den tilsigtede brug af agenter og filialer og af de kontroller, som ansøgeren forpligter sig til at gennemføre mindst en gang årligt, og en beskrivelse af outsourcingordninger.

Formålet med bestemmelsen er at give Finanstilsynet tilstrækkelige oplysninger til at vurdere, hvorvidt virksomheden har en tilstrækkelig robust organisationsstruktur samt overblik over, hvilke aktiviteter virksomheden påtænker at outsource.

Det foreslås i nr. 11, at virksomheden skal indsende oplysninger om bestyrelsesmedlemmer, direktører og, hvor det er relevant, indehaveren eller den ledelsesansvarlige for instituttets e-penge- og/eller betalingstjenesteaktiviteter, der dokumenterer, at kravene i henhold til kravene i § 30 er opfyldt.

Se nærmere i bemærkningerne til forslagets § 30 om kravet til ledelsesmedlemmers egnethed og hæderlighed.

Det foreslås i stk. 4, at der er en betingelse for udstedelse af tilladelse i henhold til stk. 1, at virksomheden har tegnet en ansvarsforsikring, der dækker de geografiske områder, hvor den tilbyder kontooplysningstjenester, eller anden lignende garanti mod erstatningskrav over for de kontoførende udbydere og brugerne som følge af uautoriseret eller svigagtig adgang til eller uautoriseret brug af betalingsoplysninger.

Formålet med denne bestemmelse, er at sikre, at de pågældende virksomheder enten har en erhvervsansvarsforsikring eller at der stilles en tilsvarende garanti. Når virksomheder udelukkende leverer kontooplysningstjenester i henhold til § 60, er de ikke i besiddelse af kundernes midler, derfor ville det være uforholdsmæssigt byrdefuldt at pålægge disse nye markedsaktører kapitalgrundlagskrav. Ikke desto mindre er det vigtigt, at virksomhederne kan leve op til deres ansvar med hensyn til deres aktiviteter.

Det foreslås i stk. 5, at Finanstilsynet kan undlade at udstede en tilladelse i henhold til stk. 1hvis Finanstilsynet vurderer, at virksomheden ikke opfylder kravene i denne lov eller regler udstedt i medfør af denne lov, oplysningerne indsendt til Finanstilsynet i henhold til stk. 2 er ufuldstændige, eller hvis ansvarsforsikringen ikke lever op til kravene i stk. 4 eller reglerne udstedt i medfør af stk. 7.

Med forslaget kan Finanstilsynet undlade at give tilladelsen til en virksomhed, der udbyder kontooplysningstjenester, såfremt Finanstilsynet vurderer, at virksomheden ikke opfylder kravene i denne lov eller regler udstedt i medfør af denne lov. Det kunne eksempelvis være tilfældet, hvis virksomheder ikke opfylder kravene om databeskyttelse og it-sikkerhed i forslaget til §§ 125-128, hvilket vil medføre en risiko for, at brugernes personoplysninger eller følsomme betalingsdata kan blive kompromitteret. Derudover skal en udbyder af kontooplysningstjenester eksempelvis leve op til kravene i § 87. Finanstilsynet kan således undlade at give tilladelsen såfremt udbyderen ikke sikrer, at brugerens personaliserede sikkerhedsforanstaltninger er beskyttede, ikke identificerer over for brugerens kontoførende udbyder, hver gang en konto tilgås eller ikke kommunikerer med den kontoførende udbyder, brugeren og betalingsmodtageren i overensstemmelse med de regler, der udstedes af Kommissionen i medfør af artikel 98, i 2. betalingstjenestedirektiv.

Finanstilsynet kan endvidere undlade at give tilladelsen, hvis virksomheden ikke på tidspunkt for meddelelsen af tilladelsen har tegnet en ansvarsforsikring i overensstemmelse med stk. 4, eller reglerne udstedt i medfør af stk. 7. Det følger af artikel 5, stk. 4, i 2. betalingstjenestedirektiv, at EBA skal udarbejde retningslinjer om de kriterier, der skal anvendes til at fastsætte minimumsbeløbet for den i stk. 4 nævnte forsikring eller anden lignede garanti. Tegner virksomheden ikke en forsikring i overensstemmelse med disse retningslinjer kan Finanstilsynet undlade at give tilladelsen.

Endelig kan Finanstilsynet undlade at give tilladelsen, hvis oplysninger i henhold til stk. 3. er ufuldstændige eller på anden måde mangelfulde.

Det foreslås i stk. 6, at En virksomhed, der har en tilladelse i henhold til stk. 1, skal behandles som et betalingsinstitut. Kapitel 5-8, med undtagelse af §§ 65-67, 72, 83, 87-90 og 124-128, finder dog ikke anvendelse på betalingsinstitutter, der alene udbyder kontooplysningstjenester.

Efter forslaget bliver en virksomhed, der kun udbyder kontooplysningstjenester behandlet som et betalingsinstitut. Det medfører, at en sådan virksomhed er underlagt tilsyn på samme måde som andre betalingsinstitutter, ligesom det har de samme rettigheder i forbindelse med dets virksomhed i et andet EU- eller EØS-land, jf. lovforslagets §§ 43-49. Udbyder af kontooplysningstjenester er endvidere også omfattet af reglerne om god skik i lovforslagets § 42.

Således er udbydere af kontooplysningstjenester eksempelvis også omfattet af forslaget til § 18, stk.3, om andre aktiviteter, og dermed omfattet af retten til at udbyde andre aktiviteter på lige fod med andre betalingsinstitutter.

En række af reglerne i lovforslagets kapitel 5-8 finder dog ikke anvendelse på virksomheder, der kun udbyder kontooplysningstjenester. Dog finder §§ 65-67 og 72 om virksomhedens oplysningsforpligtelser over for dets brugere, §§ 83 og 87-90 om rettigheder og forpligtelser ved udbud af kontooplysningstjenester og §§ 124-128 om databeskyttelse og it-sikkerhed stadig anvendelse.

Det foreslås i stk. 7, at Finanstilsynet kan fastsætte nærmere regler om den i stk. 3 nævnte ansøgning og den i stk. 2 nævnte ansvarsforsikring eller tilsvarende garanti, herunder om beregning af minimumsbeløbet.

.

Bestemmelsen er ny, og gennemfører artikel 5, stk. 4 og 5, i 2. betalingstjenestedirektiv.

Med forslaget til stk. 7 indføres en hjemmel for Finanstilsynet til at fastsætte regler om den i stk. 4 omhandlede erhvervsansvarsforsikring eller anden tilsvarende garanti. Bemyndigelsen til Finanstilsynet vil blive benyttet til i bekendtgørelsesform at fastsætte nærmere regler om beregningen af forsikringssummens mindstestørrelse, samt nærmere specifikation om krav til udformningen af forsikringsaftalen, herunder om anvendelse af selvrisiko.

Det følger af artikel 5, stk. 4, i 2. betalingstjenestedirektiv, at den europæiske banktilsynsmyndighed (EBA) senest den 13. januar 2017 skal udarbejde, efter høring af alle relevante interessenter, herunder interessenter på betalingstjenestemarkedet, og under hensyntagen til alle involverede interesser, retningslinjer for de kompetente myndigheder i overensstemmelse med artikel 16, i EBA-forordningen om de kriterier, der skal anvendes til at fastsætte minimumsbeløbet for den i stk. 4 nævnte forsikring eller anden lignede garanti. I udarbejdelsen skal EBA tage højde for a) virksomhedernes risikoprofil, b) hvorvidt virksomhederne udbyder andre betalingstjenester som omhandlet i bilag I eller udøver anden virksomhed, c) aktiviteternes omfang: i) for virksomheder, der ansøger om tilladelse til at udbyde betalingstjenester som omhandlet i bilag 1, nr. 7, værdien af de initierede transaktioner, ii) for virksomheder, der ansøger om tilladelse med henblik på at udbyde betalingstjenester som omhandlet i bilag 1, nr. 8, antal kunder, der anvender kontooplysningstjenesterne og d) de særlige karakteristika ved tilsvarende garantier og kriterierne for gennemførelse heraf.

Bekendtgørelsen, som udstedes med hjemmel i stk. 7, skal udarbejdes på baggrund af disse retningslinjer.

Med forslaget til stk. 7 indføres endvidere en hjemmel for Finanstilsynet til at fastsætte regler om den i stk. 1 omhandlede ansøgning.

Det følger af artikel 5, stk. 5, i 2. betalingstjenestedirektiv, at EBA senest den 13. juli 2017 efter høring af alle relevante interessenter, herunder på betalingstjenestemarkedet, og under hensyntagen til alle involverede interesser udarbejder retningslinjer i overensstemmelse med artikel 16, i EBA-forordningen om de oplysninger, der skal gives til de kompetente myndigheder i forbindelse med ansøgningen om tilladelse som betalingsinstitut.

Den bekendtgørelse, som Finanstilsynet vil udstede i medfør af bestemmelsen skal indeholde regler i overensstemmelse med disse retningslinjer.